Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Windows Server 2008 führt einen neuen Domänencontrollertyp ein, den schreibgeschützten Domänencontroller (Read-only Domain Controller, RODC). Damit wird ein Domänencontroller für die Verwendung in Zweigstellen bereitgestellt, in denen kein vollständiger Domänencontroller bereitgestellt werden kann. Dies soll Benutzer*innen in Zweigstellen die Anmeldung und die Ausführung von Aufgaben wie die Datei-/Druckerfreigabe ermöglichen, auch wenn keine Netzwerkkonnektivität mit Hubstandorten besteht.
RODCs haben keine Auswirkungen auf die Verwendung des Schemas. Es sollte jedoch darauf hingewiesen werden, dass das Schema einen Read-Only Partial Attribute Set (RO-PAS) unterstützt, auch als gefilterter RODC-Attributsatz bezeichnet. Dies ist ein spezieller Attributsatz, der aus Sicherheitsgründen NICHT zu RODCs repliziert wird. RO-PAS wird im Schema über das Attribut searchFlags definiert.
RODC-gefilterter Attributsatz
Einige Anwendungen, die Active Directory Domain Services als Datenspeicher verwenden, verfügen möglicherweise über Daten, die Anmeldeinformationen vergleichbar sind (wie Kennwörter, Anmeldeinformationen oder Verschlüsselungsschlüssel). Diese sollten nicht auf einem schreibgeschützten Domänencontroller gespeichert werden, da der RODC gestohlen oder kompromittiert werden könnte. Für diese Anwendungen können Sie das Attribut dem gefilterten RODC-Attributsatz hinzufügen, um seine Replikation zu RODCs in der Gesamtstruktur zu verhindern, und das Attribut als vertraulich markieren. Anschließend können die Mitglieder der Gruppe der authentifizierten Benutzer*innen (einschließlich aller RODCs) die Daten nicht mehr lesen.
Hinzufügen von Attributen zum gefilterten RODC-Attributsatz
Der gefilterte RODC-Attributsatz ist ein dynamischer Satz von Attributen, der nicht zu RODCs in der Gesamtstruktur repliziert wird. Sie können den gefilterten RODC-Attributsatz für einen Schemamaster konfigurieren, der Windows Server 2008 ausführt. Wenn die Replikation der Attribute zu RODCs verhindert wird, werden diese Daten nicht unnötig verfügbar gemacht, wenn ein RODC gestohlen oder kompromittiert wird.
Sie können dem gefilterten RODC-Attributsatz keine systemkritischen Attribute hinzufügen. Ein Attribut ist systemkritisch, wenn es für AD DS, Local Security Authority (LSA), Security Accounts Manager (SAM) und Microsoft-spezifische Sicherheitsdienstanbieter (z. B. das Kerberos-Authentifizierungsprotokoll) erforderlich ist, um ordnungsgemäß zu funktionieren. In Versionen von Windows Server 2008 nach Beta 3 besitzt ein systemkritisches Attribut den schemaFlagsEx-Attributwert (schemaFlagsEx-Attributwert & 0x1 = TRUE).
Schrittweise Anleitungen zum Hinzufügen von Attributen zum gefilterten RODC-Attributsatz finden Sie in Anhang D der schrittweisen Anleitung für RODCs.
Kennzeichnen von Attributen als vertraulich
Zusätzlich wird empfohlen, alle Attribute als vertraulich zu kennzeichnen, die Sie als Teil des gefilterten RODC-Attributsatzes konfigurieren. Um ein Attribut als vertraulich zu kennzeichnen, müssen Sie für die Gruppe der authentifizierten Benutzer*innen die Leseberechtigung für das Attribut entfernen. Das Kennzeichnen des Attributs als vertraulich bietet zusätzlichen Schutz vor einem kompromittierten RODC durch die Entfernung der Berechtigungen, die zum Lesen der Daten erforderlich sind, die Anmeldeinformationen vergleichbar sind.